Bonjour,
J'éprouve certaines difficultés a choisir l'emplacement d'un serveur, doit il etre dans la DMZ ou ds le LAN
j'ai un extranet métier, ce serveur est dans la dmz : accès en http de l'exterieur et quelques ports ouverts entre DMZ et LAN pour que l'appli fonctionne
J'ai un serveur exchange ce serveur est dans le LAN mais accessible via le net pour l'owa (pas les sous pour un frontal)
je vais avoir serveur de GED, le machin en mode web devra etre accessible aussi bien de l'exterieur que de l'interieur, a votre avis je le met en LAN ou en DMZ ?
plus généralement comment décidez vous de l'emplacement des serveurs "litigieux"
MErci pour vos réponses
T
DMZ ou LAN
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
DMZ ou LAN
par Taltos » 28 Oct 2010 17:33
-
Taltos - Lieutenant de vaisseau
- Messages: 227
- Inscrit le: 27 Jan 2004 01:00
- Localisation: Nantes
Re: DMZ ou LAN
par fleib » 28 Oct 2010 20:26
Moi je dirais que tout ce qui doit être accédé depuis le Net devrait être placé en DMZ... C'est même la raison d'être d'une telle zone...
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
-
fleib - Lieutenant de vaisseau
- Messages: 205
- Inscrit le: 28 Mai 2009 14:50
- Localisation: St Paul / La Réunion
Re: DMZ ou LAN
par jdh » 28 Oct 2010 22:24
Flieb a parfaitement raison.
DMZ : le lieu où on place les serveurs devant être accédés depuis l'extérieur (directement) : typiquement, serveurs web, serveurs ftp, relais mail, ...
C'est aussi le lieu pour les serveurs accédant à Internet : typiquement, proxy, relais mail (en émission), ...
LAN : le lieu des machines ne pouvant/devant pas être accessibles depuis l'extérieur et n'y accédant pas directement (i.e. via une machine en DMZ).
Concernant un Exchange, je le placerai FORCEMENT dans le LAN, avec, FORCEMENT, une machine relais smtp en DMZ assurant éventuellement le rôle de reverse proxy pour OWA. Cette machine peut être typiquement un petit serveur Debian par exemple, apportant un filtrage smtp antivirus/antispam/greylist/rbl réduisant de facto cette charge à l'Exchange interne (même si cela ne dispense pas évidemment de l'équiper d'un antivirus !). Cela est assurément un investissement efficace (et AMPSHA absolument nécessaire/indispensable). Cela est d'ailleurs vrai pour n'importe quel système de messagerie (Domino/Notes ou autres, proporiétaire ou non).
DMZ : le lieu où on place les serveurs devant être accédés depuis l'extérieur (directement) : typiquement, serveurs web, serveurs ftp, relais mail, ...
C'est aussi le lieu pour les serveurs accédant à Internet : typiquement, proxy, relais mail (en émission), ...
LAN : le lieu des machines ne pouvant/devant pas être accessibles depuis l'extérieur et n'y accédant pas directement (i.e. via une machine en DMZ).
Concernant un Exchange, je le placerai FORCEMENT dans le LAN, avec, FORCEMENT, une machine relais smtp en DMZ assurant éventuellement le rôle de reverse proxy pour OWA. Cette machine peut être typiquement un petit serveur Debian par exemple, apportant un filtrage smtp antivirus/antispam/greylist/rbl réduisant de facto cette charge à l'Exchange interne (même si cela ne dispense pas évidemment de l'équiper d'un antivirus !). Cela est assurément un investissement efficace (et AMPSHA absolument nécessaire/indispensable). Cela est d'ailleurs vrai pour n'importe quel système de messagerie (Domino/Notes ou autres, proporiétaire ou non).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
Re: DMZ ou LAN
par ccnet » 01 Nov 2010 14:18
(pas les sous pour un frontal)
Ce n'est ni un argument sérieux, ni recevable puisque qu'un serveur d'occasion (même deux) ne coute pas grand chose et qu'une distribution comme Clear OS permettra de mettre facilement en en place un relais filtrant spam et virus. Un serveur de mails, surtout Exchange et surtout si il fait partie de l'AD de l'entreprise, doit impérativement être placé derrière un relais.
comment décidez vous de l'emplacement des serveurs "litigieux"
Un serveur litigieux je ne comprend pas ce que c'est.
Si l'on a une seule dmz, alors tous les serveurs recevant du trafic internet ou émettant du trafic vers internet seront en dmz.
Si l'on utilise deux dmz (plus lourd mais plus sûr) on séparera les serveurs acceptant les connexions externes (dmz externe) de ceux qui n'en reçoivent pas (dmz interne).
Un serveur applicatif qui doit être accessible depuis l'extérieur le sera de préférence au travers d'un vpn si cela concerne les collaborateurs (car on peut déployer un client vpn sur leurs machines) et au travers d'un mandataire si ce n'est pas le cas. Le mandataire (proxy) sera de préférence en mesure de filtrer les contenus pour assurer une protection, un "firewalling" applicatif. Rappelons qu'actuellement la majorité des intrusions réussies exploitent des failles applicatives.
Les serveurs windows en dmz externe seront de préférences hors de l'AD de l'entreprise.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
Re: DMZ ou LAN
par Taltos » 03 Nov 2010 10:01
Grumph,
j'entends bien vos remarques, mais nous ne devons pas travailler dans le meme type d'entreprise
je dois défendre bec et ongles mon budget tous les ans, et un serveur coute quoiqu'il en soit.
je ne peux pas avoir de serveur d'occasion, un serveur sert ou ne sert pas, si il sert, il devient "critique" dans ce cas il fait l'objet d'une garantie.
(de la meme manière, je ne prend pas de poste de travail comme serveur, j'ai une salle serveur de petite taille, je rack obligatoirement)
ok pour le frontal smtp, meme si cela me fait un serveur de plus, ca restera un bon argument pour virtualiser mes serveurs en dmz mais ca ne sera pas pour cette année (enfin 2011)
pour les serveurs litigieux c'est tout simple, j'avais plutôt tendance a repartir mes serveurs de la sorte
combien de ports dois-je ouvrir pour y acceder du lan vs de l'exterieur
en fonction de la réponse le serveur est selon moi en dmz ou ds le lan
mais j'ai pas de position dogmatique
je vais re-regarder mes serveurs selon vos avis
Cordialement
j'entends bien vos remarques, mais nous ne devons pas travailler dans le meme type d'entreprise
je dois défendre bec et ongles mon budget tous les ans, et un serveur coute quoiqu'il en soit.
je ne peux pas avoir de serveur d'occasion, un serveur sert ou ne sert pas, si il sert, il devient "critique" dans ce cas il fait l'objet d'une garantie.
(de la meme manière, je ne prend pas de poste de travail comme serveur, j'ai une salle serveur de petite taille, je rack obligatoirement)
ok pour le frontal smtp, meme si cela me fait un serveur de plus, ca restera un bon argument pour virtualiser mes serveurs en dmz mais ca ne sera pas pour cette année (enfin 2011)
pour les serveurs litigieux c'est tout simple, j'avais plutôt tendance a repartir mes serveurs de la sorte
combien de ports dois-je ouvrir pour y acceder du lan vs de l'exterieur
en fonction de la réponse le serveur est selon moi en dmz ou ds le lan
mais j'ai pas de position dogmatique
je vais re-regarder mes serveurs selon vos avisCordialement
-
Taltos - Lieutenant de vaisseau
- Messages: 227
- Inscrit le: 27 Jan 2004 01:00
- Localisation: Nantes
Re: DMZ ou LAN
par ccnet » 03 Nov 2010 12:13
j'entends bien vos remarques, mais nous ne devons pas travailler dans le meme type d'entreprise
J'ai toujours pu convaincre mes clients des nécessités d'un minimum de sécurité. Même des TPE. C'est une question de présentation des risques et des coûts associés à leur matérialisation.
je ne peux pas avoir de serveur d'occasion, un serveur sert ou ne sert pas, si il sert, il devient "critique" dans ce cas il fait l'objet d'une garantie.
(de la meme manière, je ne prend pas de poste de travail comme serveur, j'ai une salle serveur de petite taille, je rack obligatoirement)
Je ne partage pas votre façon de voir.
1. La notion de criticité est toute relative. Dans les PRA on trouve, plutôt que l'idée que tout est critique, une hiérarchisation des priorité et des objectifs de temps de rétablissement en fonction du degré de criticité. Je ne connais que très peu d'environnement où tout est critique. En fait je n'en ai rencontré qu'un seul.
2. Un serveur Exchange en frontal présente un gros, voire un très gros risque (AD, très grand nombre de processus actifs, etc ... ). Je connais des entreprises où la politique de sécurité stipule que les serveurs Windows sont interdits dans les dmz, même interne. La réduction du risque par l'ajout d'un relais smtp (un dl360 G2 / G3 d'occasion coûte environ 100 €) avec, comme contournement en cas de défaillance du relais (c'est là encore juste la réalisation d'un risque) , le retour à la configuration actuelle en moins de 30 mn (je fais très large) n'est elle pas préférable ? A mon sens entre deux risques vous choisissez actuellement celui qui est de très loin le plus fort avec la probabilité d'occurrence la plus grande. Voilà pourquoi la machine même d'occasion est préférable à mon sens. Pour l'usage d'un simple PC, je suis d'accord. Il ne résistera sans doute pas longtemps à un usage 24/7.
ca restera un bon argument pour virtualiser mes serveurs en dmz
J'en suis d'accord mais attention à la mise en œuvre.
combien de ports dois-je ouvrir pour y acceder du lan vs de l'exterieur
en fonction de la réponse le serveur est selon moi en dmz ou ds le lan
Le nombre de port n'est pas un critère valide d'un point de vue sécurité. Un seul port, peu importe lequel, permet en cas de faille la réalisation d'une intrusion. Par port ouvert on entend un port, sur une machine, qui va accepter pour TCP les paquets SYN. Dans ce cas la présence d'un mandataire, avec une éventuelle analyse des contenus applicatifs, est pratiquement indispensable. C'est bien le sens du trafic qui est un élément essentiel.
Bon courage pour la suite.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
6 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité